これまで導入には慎重と言われてきた金融業界において、クラウドサービスの活用を始める機関が増加している傾向にある。その背景にはどのような業界内の変化があるのだろうか。
近年、金融業界においてもクラウドの導入が進んでる。その大きな要因は、クラウドにおいて、金融業界の厳しい要求にも耐えうるセキュリティ強度が整ってきたことだろう。銀行、証券、信託...これらの金融機関の情報システムには、金融庁の監督指針やFISC安全対策基準等の基準が複数存在しており、それらの基準を満たさなければ採用は非常に難しい。
■FISC安全対策基準正式名称:金融機関等コンピュータシステムに関する安全対策基準・解説書
公益財団法人金融情報システムセンター(The Center for Financial Industry Information Systems、通称FISC)で発刊しているガイドライン。
FISCは日本国内の金融システムの安全性向上を目的とした調査研究を行うため、1984年に設立された公益財団法人だ。「FISC安全対策基準」の中では、顧客情報を扱うシステム、オンラインでの金融サービスを提供するシステム、金融機関との決済業務に使用するシステムなどを対象に、システムを構築する際に順守すべき手順やシステム要件が解説されている。金融業界内のシステムの導入や運用においての標準ガイドラインとして位置づけられており、金融庁による監査も「FISC安全対策基準」に沿った内容で行われている。
多くの顧客情報を取り扱う金融機関の情報システムには、当然高度なセキュリティ水準が求められる。これまでは金融機関ごとに独自開発が行えるオンプレミスで運用し、自社内で高いセキュリティ水準を追及していた。
そんな保守的であった金融業界に大きな変化が起きた。2017年に国内メガバンクであるM社が、新規システム導入の際にクラウドで対応すること、また翌年2018年には1年でクラウド活用を進め、40以上のシステムをクラウドに移行したことを発表したのである。
その背景にあったのは前述したFISCがクラウドサービスの利用及びサイバー攻撃対応等に関する有識者検討会を開催し、その検討結果をもとにFISC安全対策基準を改正したことにあった。有識者会議の参加者の中に、クラウドコンピューティングサービス世界シェア1位を誇るA社が参加し、A社主導で新しい基準の検討をしたとされる。それまで金融業界の情報セキュリティの観点からは導入は難しいとされてきたA社のサービスであったが、本会議にて正式にFISC安全対策基準に準拠していることとなり、その安全性が認められた。よってメガバンクであるM社も導入に踏み切ったのである。
また、FISCが基準改定を行った要因の一つとして、フィンテック企業への懸念があった。
■フィンテック(Fintech)
金融を意味する「ファイナンス(Finance)」と、技術を意味する「テクノロジー(Technology)」を組み合わせた造語。金融サービスと最新のIT技術を結びつけた革新的な動きを意味する。
フィンテック企業は〇〇ペイ等のモバイル決済サービスや仮想通貨関連、事務管理ソフトなどの自社サービスをクラウドで提供している企業を指す。金融機関と内容が似ているサービスを安価でユーザーに提供されてしまうことで、銀行の持つ意味、存在意義自体が低下してしまう恐れがあった。そのような事態を防ぐためにも、銀行のシステムのクラウド化を促進していく必要があったのである。
FISCの基準改定でクラウドサービスを提供する事業者側においても変化が起きた。自社サービスがFISC安全対策基準に沿っているか、その情報を公開する等の取組がされ始めたことで、金融機関がクラウドサービスの導入に前向きになってきた。
(出典)「ITを活用した金融の高度化に関するワークショップ(第3期)」日本銀行資料
全体的に導入率がプラスになっているのがわかる。都銀、信託に至っては100%という驚きだ。しかし、これには考慮すべき事情がある。実は、金融機関の業務全体でのクラウド導入は進んでいるものの、会計、経理、財務を扱う勘定系システムを含む基幹系システムへの導入は難航しているのが現状なのだ。やはりクラウドサービス利用に対する懸念、不安の声が根強く残っている。現行しているシステムを止めてはならない、データの漏洩は絶対に許されない、という厳しいユーザー要件が設定されているケースが多い。
業態別にみると、銀行等よりも生保、損保、証券、クレジットでは基幹系システムへの導入が進んでいる傾向にある。クラウド種別にみると、パブリッククラウドやコミュニティクラウド(業種などの特定コミュニティに属する利用者を特に対象として提供されるクラウドで、特定の業種や業務内容に携わる事業者を対象とし、該当事業者間が共用可能な形態で提供される。)と比べ、プライベートクラウドの方が高い導入率を示している。
(出典)「ITを活用した金融の高度化に関するワークショップ(第3期)」日本銀行資料
また、セキュリティの確保が第一となる基幹系業務システムはオンプレミスのまま自社サーバーを使用し、コスト削減やスピード性が重要な新規事業(例:スマートデバイス向けアプリ開発)用のシステムはパブリッククラウド上で構築する等、サービスごとの使い分けも見られている。新規事業のために新たに物理サーバを用意する必要がなくなり初期にかかる投資額や時間が抑えられるメリットがある。
(事例1)ネット銀行 S社
導入には非常に慎重であったというS社。導入前に独自に調査を重ね、数あるクラウドの中でも A社のクラウドが多くの機能を有し、かつコストも低く抑えられることを見出した。その後、社内でセキュリティ、システムリスク面の評価を実施。既存のリスク評価チェック基準に加え、FISC 安全対策基準の適合性調査結果なども活用した。導入後のコストはオンプレミス時代の 30~50% 程が軽減、リソースの調達や新規アプリの開発にかかっていた時間も減った。クラウドの柔軟性がもたらすコスト削減効果は大きく、さらに運用と管理の自動化が進んだことでビジネス全体がスピードアップした。
(事例2)信託銀行 T社
時短社員向けにテレワークの導入を進めているT社。但し、多くの機密情報を扱っているため、セキュリティ上の観点から顧客の情報を見ることができるのは自社サーバーに繋がっている場合のみとしている。社外からはアクセスができず一見不自由そうにも感じるかもしれないが、その対策としてデータの保存先を自社サーバーとクラウドで使い分け、さらに社内で勤務する社員とテレワークを行う社員とで担当する業務を分けている。テレワークを行う社員が必要とするデータは顧客情報には関係せず、メールやスプレッドシート、クラウドから引き出せるデータとしている。自社サーバーとクラウドの両立、さらに社員の業務も適切に割り振ることで効率化を実現している。
メガバンクであるM社は「クラウドで構築した新システムは従来比で60~70%のコスト削減ができることが見込める」と述べている。国内金融機関全体で、クラウドへの移行の検討が進められており、今後のクラウド化の流れは、さらに加速していくだろう。将来的にはさまざまなシステムのクラウド化は必須であり、金融機関だけではなく、一般企業においても、この流れは不可避といえる。国内のみならず、世界のIT情勢に乗り遅れないためにも積極的にクラウドの導入を検討してみてはいかがだろうか。